Verlinktes Glossar und Abkürzungsverzeichnis für erklärungsbedürftige bis kryptische Sicherheitsbegriffe und Abkürzungen aus den Bereichen Security und Safety.
A – B – C – D – E – F – G – H – I – J – K – L – M – N – O – P – Q – R – S – T – U – V – W– X – Y – Z
A
A/B-Test
Der A/B-Test (auch split test) ist eine aus dem Online Marketing stammende Testmethode zur Bewertung zweier Varianten eines Systems, bei der die Originalversion gegen eine leicht veränderte Version getestet wird – d.h. ihre jeweiligen Leistungen (beispielsweise auch in Sachen Sicherheit) miteinander verglichen werden. Wikipedia
AES-128
Advanced Encryption Standard 128 Bit – ein Verschlüsselungsstandard. “AES schränkt die Blocklänge auf 128 Bit und die Wahl der Schlüssellänge auf 128, 192 oder 256 Bit ein. Die Bezeichnungen der drei AES-Varianten AES-128, AES-192 und AES-256 beziehen sich jeweils auf die gewählte Schlüssellänge. AES ist frei verfügbar und darf ohne Lizenzgebühren eingesetzt sowie in Soft- und Hardware implementiert werden.” Wikipedia
AFDD
Arc Fault Detection Device. Im Brandschutz gilt es u.a., Brände zu verhindern, die durch Fehlerlichtbögen ausgelöst werden könnten. Dieser Schutz lässt sich mit sogenannten Brandschutzschaltern erzielen, auch Fehlerlichtbogen-Schutzeinrichtung oder AFDD genannt.
Air Gap
Wenn Rechner stand-alone betrieben werden, also keinen Zugang zu unsicheren Netzen (Internet, unsicheres (W)LAN) haben, spricht man von der Sicherheitsmaßnahme Air Gap. (Wikipedia)
AMS
ANPR & ALPR
“Automatic Number Plate Recognition” und “Automatic License Plate Recognition” – Automatische Kennzeichenerkennung.
avantpark.de
Anti-Passback
Sicherungsverfahren bei der Zutrittskontrolle: Ein Gebäude kann nicht erneut betreten werden, ohne es vorher korrekt, d.h. ausgecheckt verlassen zu haben. Anti-Passback soll Tailgating verhindern.
ASR
“Die Technischen Regeln für Arbeitsstätten (auch Arbeitsstättenregeln oder kurz ASR genannt) konkretisieren die Anforderungen der in Deutschland gültigen Verordnung für Arbeitsstätten.” Wikipedia
B
BCMS
Business Continuity Management System, z. B. nach dem BSI-Standard 200-4.
BDSG
BIA & BRA
Die EN 50600 ist eine europäische Normenreihe, die Anforderungen und Empfehlungen für die Planung und den Betrieb von Rechenzentren festlegt. Eine Geschäftsrisikoanalyse (Business Risk Assessment, BRA) im Sinne der EN 50600 bezieht sich auf die systematische Identifikation, Bewertung und Priorisierung von Risiken, die den Betrieb und die Sicherheit eines Rechenzentrums beeinträchtigen könnten. Die EN 50600 verfolgt einen prozessorientierten Ansatz, der sicherstellen soll, dass die Geschäftsprozesse und Kernprozesse des Rechenzentrums geschützt sind. Dies umfasst sowohl physische als auch betriebliche Sicherheitsaspekte sowie die Effizienz der Energie- und Ressourcennutzung. Somit sind hier die Methoden (BIA – Business Impact Analysis – und RIA – Risikoanalyse) des BCM direkt anwendbar.
BIM
Building Information Modeling (deutsch: Bauwerksdatenmodellierung) beschreibt eine Arbeitsmethode für die vernetzte Planung, den Bau und die Bewirtschaftung von Gebäuden und anderen Bauwerken mithilfe von Software.
BITKOM
Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.
BL
Black Building Test
Dieser Test dient der Überprüfung der Gebäudefunktionalität und Schutzzielerreichung im Normal- und Notfallbetrieb, vgl. VDI 6010 Blatt 3.
Blackout
Englisch für Stromausfall. “Ein Blackout, oder auch sogenannter Schwarzfall, ist laut Bundesnetzagentur unkontrolliert und unvorhergesehen. Dabei versagen so viele Netzelemente beziehungsweise wird der Netzbetrieb so stark gestört, dass große Teile des Verbundnetzes in Europa ausfallen.” (Focus.de)
BLE
Bluetooth Low Energy, ein von vielen IoT Devices (im Internet of Things verwendete Endgeräte) genutztes Protokoll. Es ist – wie jedes Kommunikationsprotokoll – theoretisch angreifbar.
Bluetooth
Ein in den 1990er Jahren durch die Bluetooth Special Interest Group entwickelter Industriestandard für die Datenübertragung zwischen Geräten über kurze Distanz per Funktechnik.
BMA
BMZ
Brandmeldezentrale, Brandmelderzentrale
BOS
Der BOS-Funk ist ein nicht öffentlicher mobiler UKW-Landfunkdienst in Deutschland und Österreich, der von Behörden und Organisationen mit Sicherheitsaufgaben (BOS) sowie der Bundeswehr verwendet wird (Wikipedia).
Brownout
Englisch für Stromausfall. “Bei einem Brownout würde laut Bundesnetzagentur ebenfalls der Strom ausfallen (genau wie beim Blackout). Allerdings laufe dieser Prozess kontrolliert und geplant ab.” (focus.de)
BSI
Bundesamt für Sicherheit in der Informationstechnik
BSK
Brandschutzklappe … ein Bauteil zum Einbau in Lüftungsleitungen innerhalb von Wänden und Decken bzw. entfernt von Wänden. Sie ist eine automatische Absperrvorrichtung zur Verhinderung der Übertragung von Feuer und Rauch durch den beidseitig an der Klappe angeschlossenen Lüftungskanal einer Lüftungsanlage.
Wikipedia
BSOD
Der Blue Screen of Death “ist eine Kategorie von Fehlermeldungen (stop errors), die bei Microsoft-Windows-Betriebssystemen angezeigt werden. Nach einem kritischen Systemfehler wird das System gestoppt und die Bedienoberfläche des Betriebssystems vollständig durch eine blaue Fläche ersetzt, auf der in weißer Schrift Fehlerinformationen erscheinen. Ausgelöst werden diese Meldungen in den häufigsten Fällen nicht durch Fehler in Anwendungsprogrammen, sondern durch Fehler in Gerätetreibern oder in der Hardware.” Wikipedia
BÜ
Bauüberwachung, Objektüberwachung (vgl. Wikipedia)
C
C-a-a-S
(Cyber) Crime-as-a-Service: Cyberschurken bieten Ihre kriminellen Dienstleistungen, z. B. Phishing-Attacken, anderen gegen Bezahlung an, z. B. im Darknet (Universität Osnabrück).
CER
CER-Richtlinie (Critical Entities Resilience Directive), auch RCE-Richtlinie (Resilience of Critical Entities). Als Kritische, also unverzichtbare Sektoren, für die daher besondere Sicherheitsauflagen gelten, ordnet diese Richtlinie u.a. ein: Gesundheit, Lebensmittel, Energie, Verkehr, Allfinanz, Trinkwasser/Abwasser, Öffentliche Verwaltung, Digitale Infrastruktur.
CISO (CSO)
Während sich der Chief Information Security Officer um die Sicherheit von Daten und Informationen kümmert, ist der Chief Security Officer für die allgemeine Sicherheit im Unternehmen zuständig (CSO Group).
Credential Stuffing
Fast jeder von uns nutzt heutzutage Dutzende verschiedener Online-Services, Digital Natives vermutlich viele Dutzend: E-Mail, Shopping in E-Commerce-Kaufhäusern, Streaming-Dienste für Musik oder Filme, Online Banking, “Zeitungs”-Abos, Terminbuchung für alles vom Arzt- bis zum Konzertbesuch, Software-as-a-Service usw. Der Zugang zur Nutzung von jedem dieser Online-Angebote – häufig mit hinterlegter Zahlungsmethode – ist durch einen Login-Prozess mehr oder weniger gut geschützt – minimal also durch einen Benutzernamen und ein Passwort. Werden solche Login-Daten gestohlen, dann werden sie manchmal gebündelt anderen Cyberkriminellen zum Kauf angeboten. Solche Login-Daten nutzen Hacker dann beispielsweise beim sogenannten Credential Stuffing, um Profit aus den gestohlenen Daten zu schlagen. (Wikipedia)
CSA
Child Sexual Abuse. Die Bekämpfung von Kindsmißbrauch ist eines der priorisierten Ziele des Europäischen Parlaments.
CTEM
Continuous Threat Exposure Management soll Unternehmen dabei unterstützen, ihre Cloud-Umgebungen zu verwalten und Cyberrisiken zu reduzieren. Traditionell verlassen sich viele Organisationen auf geplante oder periodische Scans und manuelle Überprüfungen, um Risiken zu identifizieren (“Schwachstellen-Scanning”). Im Gegensatz dazu bietet CTEM eine ereignisgesteuerte Risikobewertung, indem Cloud-Aktivitätsprotokolle überwacht und Änderungen in Echtzeit verfolgt werden.
CVE
Common Vulnerabilities and Exposures, also bekannte Schwachsstellen und Anfälligkeiten in Computersystemen (Wikipedia). Seit 05/2025 gibt es mit der EUVD eine von der European Union Agency for Cybersecurity (ENISA) betreute europäische Variante: euvd.enisa.europa.eu
Cyber Kill Chain
Das Modell der Cyber Kill Chain wurde vom US-Verteidigungs- und -Luftfahrtunternehmen Lockheed Martin entwickelt, um Cyberangriffe in fünf Stufen zu beschreiben: 1. Erkundung, 2. Angriffsmethode finden, 3. Gezielter Angriff, 4. Brückenkopf, 5. Übernahme. (Wikipedia)
Cybergrooming
Gezielte Kontaktaufnahme von Erwachsenen mit Minderjährigen in Missbrauchsabsicht über das Internet (engl. to groom wörtl.: jemanden pflegen).
D
D&O
Die D&O (Directors-and-Officers-Versicherung, auch Organ- oder Manager-Haftpflichtversicherung) ist eine Vermögensschadenhaftpflichtversicherung, die ein Unternehmen für seine Organe und leitenden Angestellten abschließt. Es handelt sich dabei um eine Versicherung zugunsten Dritter, die der Art nach zu den Berufshaftpflichtversicherungen gezählt wird. Die D&O-Versicherung bietet jedoch nur Schutz für die Organe und Manager des Unternehmens, nicht aber für das Unternehmen selbst. (Wikipedia)
DDoS-Angriffe
Distributed Denial Of Service (wörtlich: Verweigerung des Dienstes) bedeutet soviel wie etwas unzugänglich machen oder durch Überlastung außer Betrieb setzen. Technisch passiert dabei folgendes: Bei einem DDoS-Angriff wird z. B. ein Server koordiniert bzw. automatisiert von zahlreichen Angreifern (Botnet) mit so vielen Anfragen oder Zugriffen angesteuert, dass er die Menge der Anfragen nicht mehr bewältigen kann und nicht mehr erreichbar ist (also zeitweilig den Dienst verweigert) oder im schlimmsten Fall abstürzt und Schaden nimmt. (Wikipedia)
Double-Extortion-Ransomware
Bei üblichen Angriffen mit Ransomware gibt es zumeist ein Druckmittel. Die Daten eines oder mehrerer Systeme werden verschlüsselt. Für die Entschlüsselung wird ein Lösegeld gefordert. Bei Double Extortion gilt das Motto „doppelt hält besser“. Hierbei ergänzen die Angreifer weitere Druckmittel. Wörtlich übersetzt bedeutet Double Extortion “doppelte Erpressung“. Es geht jedoch nicht um eine mehrfache Erpressung im eigentlichen Sinne. Vielmehr geht es um den Einsatz mehrerer Druckmittel für die Erpressung, um die Lösegeldzahlung für das betroffene Unternehmen als unumgänglich erscheinen zu lassen. (Dr. Datenschutz)
Drainer
“Eine neue Form von Phishing-Attacken, sogenannte Krypto-Drainer, sorgen im Netz für Schäden in Millionenhöhe. Diese Form des Cyberangriffs zielt auf “Wallets”, die digitalen Geldbörsen ab. In diesen Apps sind nicht nur Zahlungsmittel wie Debit- und Kreditkarten gespeichert, sondern auch Kryptowährungen oder andere digitale Werte, neben Bitcoin also etwa Non-fungible Token (eine Art digitale Besitzurkunde), virtuelle Kunstwerke, Rechtsansprüche oder Unternehmensanteile. Während sich die Schadenssumme durch Attacken mit Erpressungssoftware im Jahr 2023 verdoppelte, verfünffachten sich die Schäden durch Drainer im gleichen Zeitraum, meldete die auf Cybertransaktionen spezialisierte Plattform Chainalysis.” (WiWo)
ds
Abkürzung für “dichtschließend”, ein Begriff der in den Sicherheits-Teilgebieten Zutrittskontrolle und Brandschutz benutzt wird. Türen können dichtschließend sein, um die Ausbreitung von Rauch im Gebäude zu verhindern oder zumindest zu verlangsamen. (BauNetzWissen)
Dumpster Dive
Im weiteren Sinne das Durchsuchen der Abfälle eines Unternehmens oder einer Person (Wikipedia). Was im Normalfall der Nahrungssuche dient, wird im Security-Bereich beispielsweise zur Industriespionage eingesetzt.
E
EASM
External Attack Surface Management – Identifizieren und Bewerten der externen Angriffsfläche, die man selbst/das eigene Unternehmen zu einem gegebenen Zeitpunkt potenziellen Angreifern bietet, v.a. im Cyber-Raum. Dies kann durch eine Kombination aus Penetrationstests, Schwachstellenbewertungen und automatisiertem Scannen erreicht werden. (checkpoint.com)
EC3
Das European Cybercrime Center ist eine Einrichtung der Europäischen Union, die bei der Europol in Den Haag angesiedelt ist. Sie dient der grenzübergreifenden Strafverfolgung von Computerkriminalität in der EU. (Wikipedia)
EDR
Endpoint Detection and Response ist ein Schutzsystem für Endgeräte wie PCs, Laptops, Mobiltelefone oder im Internet der Dinge vernetzte Devides, das auch das Verhalten des Geräts selbst (Endpoint)auf Auffälligkeiten untersucht und nicht nur, wie Antivirensoftware, Dateien scannt. (Wikipedia)
EMA
Einbruchmeldeanlagen sind technische, heute ausschließlich elektronisch betriebene Einrichtungen, die dem Objekt- und Personenschutz dienen. (Wikipedia)
ENISA
Die European Network and Information Security Agency ist eine 2004 von der Europäischen Union gegründete Agentur für Cybersecurity. (Wikipedia)
F
Funktionserhalt
Funktionserhalt bezeichnet im Kontext von Brandschutz die Fähigkeit eines technischen Systems oder Bauteils, im Brandfall seine wesentlichen Funktionen über einen bestimmten Zeitraum aufrecht zu erhalten.
G
GMS
Gefahrenmanagementsysteme sind spezialisierte Technologien, die entwickelt wurden, um eine schnelle Erkennung, Analyse und Reaktion auf verschiedene Gefahren zu ermöglichen. Diese Gefahren können Naturkatastrophen, technische Störungen, Cyberangriffe, Terrorismus oder andere potenzielle Bedrohungen umfassen. (Ausbildungskompass)
GWE
Gaswarneinrichtung, vgl. das Merkblatt “Gaswarneinrichtungen und -geräte für toxische Gase/Dämpfe und Sauerstoff” der Berufsgenossenschaft Rohstoffe und chemische Industrie.
H
Hardware Secure Element (HSE)
Computerumgebungen, die speziell für sicheren Betrieb entworfen wurden: “A hardware security module (HSM), a secure element (SE), a smart card, a trusted execution environment (TEE) and a secure enclave (SE again) are all computing environments designed for secure execution.” (SecurityStackExchange.com)
I
IAM
Identity and Access-Management, ein Identitäts- und Zutrittskontroll-System für IT-Systeme. Es regelt digitale Identität, Zugriffsrechte, Rollen, Compliance-Anforderungen etc.
ISMS
Ein Information Security Management System – deutsch Managementsystem für Sicherheit – “ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.” (Wikipedia)
ITIL
Die IT Infrastructure Library ist ist ein Best-Practice-Leitfaden und der De-facto-Standard im Bereich IT-Service-Management. (Wikipedia)
J
Juice Jacking
“Juice Jacking beschreibt einen Cyberangriff über die Stromzufuhr eines Smartphones, Tabletcomputers oder eines sonstigen mobilen Geräts. Über dessen USB-Port, der sowohl der Datenübertragung als auch dem Aufladen des mobilen Geräts dient, kann Malware von diesem Gerät auf den Zielrechner übertragen werden.” (Wikipedia)
https://de.wikipedia.org › wiki › Juice_Jacking
K
L
LAR
Lateral Movement
“Lateral Movement (deutsch: seitliche Bewegung) bezieht sich auf die Techniken, die ein Cyberangreifer anwendet, um nach dem ersten Zugriff tiefer in ein Netzwerk einzudringen, um sensible Daten und andere wertvolle Güter zu erbeuten. Nachdem der Angreifer in das Netzwerk eingedrungen ist, behält er seinen Zugang bei, indem er sich durch die kompromittierte Umgebung bewegt und sich mit Hilfe verschiedener Tools erweiterte Rechte verschafft. Die seitliche Bewegung ist eine Schlüsseltaktik, die die heutigen fortschrittlichen anhaltenden Bedrohungen (APTs) von den einfachen Cyberangriffen der Vergangenheit unterscheidet. Sie ermöglicht es einem Bedrohungsakteur, die Entdeckung zu vermeiden und den Zugang zu behalten, selbst wenn er auf dem Rechner entdeckt wird, der zuerst infiziert wurde. Und aufgrund der langen Verweildauer kann der Datendiebstahl erst Wochen oder sogar Monate nach dem ursprünglichen Einbruch erfolgen.” (crowdstrike)
M
N
N-Day
Zero-Day-Angriffe stehen oft im Mittelpunkt des Interesses, wenn es um Cybersecurity-Bedrohungen geht, aber eigentlich ist es die bekannte Schwachstelle – bzw. “N-Day” Exploit -, die für viele Unternehmen ein viel größeres Problem darstellt. (DarkReading.com)
Der Name zielt darauf, dass zwischen dem Zeitpunkt des Bekanntwerdens und dem Zeitpunkt von entweder dem Angriff auf ein System oder dem Beseitigen der Schwachstelle eine Verzögerung von einem oder mehreren – also “n” – Tagen liegt. Ziel von Herstellern und Sicherheitsverantwortlichen/Administratoren muss es sein, die verwundbaren Systeme so schnell wie möglich mit einem geeigneten Update zu patchen.
NDR
In unserem Kontext ist nicht der Norddeutsche Rundfunk gemeint, sondern Network Detection and Response. NDR-Anwendungen sollen Bedrohungen auf Paketebene erkennen und in Echtzeit reagieren. (Channel-Partner.de)
NFC
Near Field Communication (dt. Nahfeldkommunikation) ist ein auf der RFID-Technik basierender internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten per elektromagnetischer Induktion mittels lose gekoppelter Spulen über kurze Strecken. (Wikipedia)
Wie jedes Kommunikationsprotokoll ist es theoretisch angreifbar.
NIS2
Network and Information Security: Am 27.12.2022 wurde die zweite EU -Richtlinie zur Netzwerk- und Informationssicherheit ( NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. (OpenKritis)
O
OWASP
Das Open Web Application Security Project (OWASP) ist eine internationale gemeinnützige Organisation, die kostenlose Dokumentation, Tools, Videos und Foren für alle bereitstellt, die die Sicherheit ihrer Webanwendungen verbessern wollen. (Wikipedia)
P
Password Spraying
“Passwort-Spraying ist eine Art von Brute-Force-Angriff. Bei diesem Angriff erzwingt ein Angreifer Anmeldungen auf der Grundlage einer Liste von Benutzernamen mit Standardkennwörtern in der Anwendung. Ein Angreifer verwendet beispielsweise ein Passwort (z. B. Secure@123) für viele verschiedene Konten in der Anwendung, um Kontosperrungen zu vermeiden, die normalerweise beim Brute-Force-Angriff auf ein einzelnes Konto mit vielen Passwörtern auftreten würden. Dieser Angriff ist häufig anzutreffen, wenn die Anwendung oder der Administrator ein Standardkennwort für neue Benutzer festlegt.” (OWASP.org)
Perimeter Protection
“Perimeterschutz ist ein Sicherheitskonzept oder eine Sicherheitsstrategie, die darauf abzielt, die äußeren Grenzen eines physischen Standorts oder eines Informationssystems zu sichern und unautorisierten Zugang oder unerlaubte Aktivitäten zu erkennen oder zu verhindern.” (LivEye.com)
PKS
Polizeiliche Kriminalstatistik. (Link zur PKS 2023 beim Bundeskriminalamt)
PNA
Personen-Notsignal-Anlagen “werden überwiegend zur Überwachung von ortsgebundenen und ortsungebundenen Einzelarbeitsplätzen mit erhöhter oder kritischer Gefährdung eingesetzt. Sie bestehen aus tragbaren Personen-Notsignal-Geräten (PNG) und einer Personen-Notsignal-Empfangszentrale (PNEZ).” (DGUV.de)
PSA
Persönliche Schutzausrüstung, z. B. Helm, Schutzbrille, Sicherheitsschuhe etc.
PTZ
Verfolgerkamera mit “Pan, Tilt & Zoom”-Funktionalität: schwenken, neigen und Brennweite verändern. (Wikipedia)
R
Red Team
“Als Red Team oder als Rotes Team wird eine unabhängige Gruppe bezeichnet, die bei einer Organisation oder einem Unternehmen eine Verbesserung der Effektivität im Sicherheitsmanagement bewirken soll, indem sie als Gegner auftritt (z. B. als ethical Hackers/White Hat Hackers). Ziel ist es dabei immer, Sicherheitslücken aufzuspüren, bevor ein externer Dritter diese ausnutzen kann. Das Verfahren gilt als besonders effektiv in Organisationen mit starren Strukturen und eingefahrenen Verfahrensweisen. (Wikipedia)
RFID
Radio-Frequency Identification: Eine Transponder und Lesegerät voraussetzende Funk-Kommunikationslösung. Passive Transponder entnehmen ihre Betriebsspannung dem elektromagnetischen Feld des Lesegerätes (benötigen also keine Batterie). Beispiel: Moderne Smartphones unterstützen heute RFID (und NFC). (Wikipedia)
Wie jedes Kommunikationsprotokoll ist auch RFID theoretisch angreifbar.
S
Secure Element (SE)
Secure Element ist ein speziell abgesichertes Betriebssystem (Operating System, OS) auf Basis einer manipulationssicheren Hardwarekomponente. Es schützt Werte und Informationen (z. B. Schlüssel, digitale Zertifikate, Zugangsberechtigungen, Guthaben und andere sensible Daten) vor ausgefeilten Angriffen durch Hacker. (Wikipedia)
Der Begriff Hardware-Sicherheitsmodul oder englisch Hardware Security Module (HSM) bezeichnet ein internes oder externes Peripheriegerät für die effiziente und sichere Ausführung kryptographischer Operationen oder Applikationen für sensible Daten. Dies ermöglicht zum Beispiel, die Vertrauenswürdigkeit und die Integrität von Daten und den damit verbundenen Informationen in geschäftskritischen IT-Systemen sicherzustellen. (Wikipedia)
Shoulder Surfing
“Der Begriff lässt sich sinngemäß übersetzen mit „jemandem über die Schulter schauen“. So einfach die Methode, so schwerwiegend oft die Konsequenzen”, wenn es dabei nämlich gelingt, Daten wie PINs, Passwörter oder sonstige Zugangsdaten auszuspähen.” (Sparkasse.de)
SIGEKO
Der Sicherheits- und Gesundheitsschutzkoordinator wird vom Bauherrn für Baustellen bestellt, sofern Beschäftigte mehrerer Unternehmer (Gewerke) auf der Baustelle tätig werden. (Wikipedia)
SKALA
Das Akronym steht für System zur Kriminalitätsauswertung und Lageantizipation. Antizipation wie vorhersagen. “Beim Predective Policing wird versucht, die Wahrscheinlichkeit von Straftaten innerhalb eines bestimmten Zeitraumes und fest definierten Gebieten möglichst genau zu prognostizieren.”
Smishing
… steht für SMS-Phishing. Mit der Behauptung, bei einer Sendung via DHL oder FedEx o.Ä. sei eine Interaktion erforderlich – z. B. Paketverfolgung oder -rücksendung – werden die Empfänger einer Nachricht dazu verlockt, eine App zu installieren. Diese dient aber lediglich dem Datendiebstahl. (BSI)
SOC Audit
“System and Organization Controls (oder System- und Organisationskontrollen) stellen in den Varianten SOC 1, SOC 2 und SOC 3 Prüfungs- und Berichtsstandards des AICPA dar (“American Institute of Certified Public Accountants”, zu deutsch “Amerikanisches Institut für Wirtschaftsprüfer”).” SOC-Audits und resultierende SOC-Berichte sind für Unternehmen gedacht, welche die Qualität ihrer Services und v.a. die Sicherheit der für die Auftraggeber verarbeiteten Daten nachweisen wollen. (Audit-Professionals.de)
SOP
… steht für Standard Operating Procedure, “auf Deutsch etwa Standardvorgehensweise oder standardisiertes Vorgehen. Eine SOP ist eine verbindliche textliche Beschreibung der Abläufe von Vorgängen einschließlich der Prüfung der Ergebnisse und deren Dokumentation insbesondere in Bereichen kritischer Vorgänge mit potentiellen Auswirkungen auf Umwelt, Gesundheit und Sicherheit.” (Wikipedia)
Daher ist das Einführen, Durchsetzen, aber auch kontinuierliche Kontrollieren eines möglichst vollständigen Katalogs an bewährten Verfahrensweisen ein wichtiger Bestandteil betrieblicher Sicherheit.
Spear Phishing
“Bei Spear-Phishing handelt es sich um eine Betrugsmasche im Internet und eine besondere Variante des Phishings. Statt ein möglichst breites Publikum anzusprechen, wählen Betrüger ihre Zielgruppe genauestens aus. Mit konkreten Informationen zur ausgewählten Gruppe können sie sehr glaubhafte Nachrichten und Websites erstellen. Der Aufwand ist höher, die Erfolgsrate aber ebenfalls.” (IONOS)
Spoofing
Spoofing ist “ein Cyberverbrechen, bei dem sich eine Person als vertrauenswürdiger Kontakt oder als vertrauenswürdiges Unternehmen ausgibt, um an sensible persönliche Daten zu gelangen. Beim Spoofing geht es darum, die Identität von bekannten Kontakten, das Design bekannter Marken oder die Adressen vertrauenswürdiger Websites zu kopieren und sich zunutze zu machen.” (Avast.com)
SQL Injection
“(Dtsch. SQL-Einschleusung) ist das Ausnutzen einer Sicherheitslücke in Zusammenhang mit SQL -Datenbanken (Structured Query Language, z. B. MS SQL Server, MySQL, Oracle, IBM DB2, SQL Anywhere). Die Sicherheitslücke entsteht durch einen Programmierfehler in einem Programm, das auf die Datenbank zugreift.” (Wikipedia)
SSI
“Eine selbstbestimmte Identität (englisch: Self-Sovereign Identity, kurz: SSI) erlaubt es einer Person, Organisation oder Maschine, eine digitale Identität zu erzeugen und vollständig zu kontrollieren, ohne dass es der Erlaubnis eines Vermittlers oder einer zentralen Partei bedarf. Zudem erlaubt sie die Kontrolle darüber, wie die persönlichen Daten geteilt und verwendet werden.” (Wikipedia)
Ein Beispiel ist, wenn Anwender digitale Nachweise über ihre Identität ohne Mittler, also selbsttätig weitergeben können, wenn sie dies wünschen.
SSL/TLS
… “steht für „Secure Socket Layer”, TLS für „Transport Layer Security”. Beides sind digitale Zertifikate und bilden gemeinsam eine Grundlage für (aufgrund der eindeutigeren Identifikation, d. Red.) sicherere Kommunikation im Internet. SSL/TLS-Zertifikate sichern Ihre Internetverbindungen durch Verschlüsselung der Daten ab, die zwischen Ihrem Browser, der von Ihnen besuchten Website und dem Server ausgetauscht werden. Wenn die Kommunikation über diese verschlüsselte Transportschicht erfolgt, wird an den Protokollnamen ein „s“ angehängt: Aus http wird https, aus imap imaps usw.” Voraussetzung ist, dass der Betreiber der besuchten Website ein entsprechendes Zertifikat hat und bereitstellt. (IONOS)
SÜ, SÜG
Sicherheitsüberprüfung – die Sicherheitsüberprüfung im personellen Geheim- und Sabotageschutz dient dazu, mögliche Sicherheitsrisiken auszuschließen. Das Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes und den Schutz von Verschlusssachen (SÜG) “sieht drei Überprüfungsarten vor:
– die einfache Sicherheitsüberprüfung (SÜ1),
– die erweiterte Sicherheitsüberprüfung (SÜ2) und
– die erweiterte Sicherheitsüberprüfung mit Sicherheitsermittlungen (SÜ3).”
Verfassungsschutz.de
T
T30-FSA 62
Eine nach EN 1634-1 (DIN 4102) geprüfte Feuerschutztür aus Stahl mit einer Türblattdicke von 62 mm, die 3-seitig gefälzt ist. (teckentrup.biz)
Tailgating
Die Prägung Tailgating (Aus tail: Schwanz, Anhängsel und gate: Tor, Tür, Durchlass) beschreibt das “Anhängen” eines Eindringlings an eine befugte Person (vgl. Zutrittskontrolle, Zutrittsschutz).
T30-FSA 62
“TGA steht als Abkürzung für die technische Gebäudeausrüstung und umfasst alle fest im und außerhalb des Gebäudes installierten technischen Einrichtungen. Häufig wird dieser Leistungsbereich auch als Gebäudetechnik, technische Ausrüstung oder Haustechnik bezeichnet. Wird beim Hausbau ein TGA-Planer als Fachplaner beauftragt, unterstützt dieser von Anfang an die Planung und kann ebenso Aufgaben der Bauüberwachung in der Ausführungsphase übernehmen.” (hausberater.de)
U
UAV
Unmanned Aerial Vehicles, Drohne.
USBV
… steht für „unkonventionelle Spreng- und Brandvorrichtung”, also “eine manuell hergestellte Brand- oder Sprengladungen. Im Englischen spricht man von einer IED (improvised explosive device). Sie werden von Tätern oft als Gegenstände des alltäglichen Gebrauchs getarnt, die als ungefährlich eingeordnet werden sollen, beispielsweise als Brief- oder Postsendung, Einkaufstasche, Rucksack, Koffer.” (wiki-fuer-schutz-und-sicherheit.de)
USV
Eine Unterbrechungsfreie Stromversorgung “stellt die Versorgung kritischer elektrischer Lasten bei Störungen im Stromnetz sicher, englisch Uninterruptible Power Supply (UPS). Davon zu unterscheiden ist die Ersatzstromversorgung (auch als „Netzersatzanlage“ bezeichnet), da diese bei der Umschaltung eine kurze Unterbrechung der Stromversorgung hat.” (Wikipedia)
Eine vernetzte USV kann angegriffen werden.
V
Vishing (Voice Phishing)
“Ein Vishing-Angriff ist eine Art von Phishing-Angriff, bei dem ein Bedrohungsakteur Social-Engineering-Taktiken über Sprachkommunikation einsetzt, um eine Zielperson zu täuschen und zu betrügen. Das Wort “Vishing” ist ein Blending aus “Voice” oder “VoIP” (Voice over Internet Protocol) und “Phishing”. Der Betrüger kann entweder versuchen, die Zielperson davon zu überzeugen, ihm Geld zu schicken oder einige oder sensible Informationen weiterzugeben.” (malwarebytes.com)
VSOC
Vehicle Security Operations Center: “eine spezialisierte Sicherheitszentrale, die sich auf die Überwachung und Erkennung von sowie die Reaktion auf Cyberbedrohungen konzentriert, die speziell Fahrzeuge betreffen”. (it-daily.net)
W
White Hat (Hacker)
“Die Bezeichnungen für gute und böse Hacker finden Ihren Ursprung in alten Western-Filmen. Wenn gute gegen böse Charaktere antraten, wurden die guten durch das Tragen von weißen Hüten und die bösen durch das Tragen von schwarzen Hüten dargestellt. Der Unterschied zwischen White-Hat- und Black-Hat-Hackern liegt jedoch nicht nur in der Western-Metapher, sondern vor allem auch in der Motivation und der Rechtmäßigkeit ihrer Arbeit. Die guten White-Hats (auch: “ethical hackers”) arbeiten im Auftrag von Unternehmen und testen durch Cyberangriffe die IT-Systeme eines Unternehmens, um Sicherheitslücken ausfindig zu machen und zu schließen. Dadurch wird für eine optimierte IT-Sicherheit gesorgt und proaktiv vor möglichen Hacker-Angriffen geschützt.” (heise.de)
X
XDR
Extended Detection and Response. “Viele halten XDR fälschlicherweise für ein Produkt oder die Weiterentwicklung von EDR. XDR ist jedoch eine Strategie, die aus einer Kombination von sicherheitsrelevanten Telemetriedaten in Verbindung mit High-Fidelity-Detektionen besteht, um eine schnellere und effektivere Reaktion auf Vorfälle zu ermöglichen.” (channelpartner.de)
Z
Zero Day
Der Name solcher Sicherheitslücken leitet sich davon ab, dass die Bereitsteller beispielsweise eines Betriebssystems nach Bekanntwerden einer Schwachstelle eigentlich keinen Tag (Zero Days) Zeit haben, diese durch sog. “Patches” (deutsch: “Pflaster”, z. B. Betriebssystem-Updates) zu beheben. Oft fallen die Lücken erst auf, weil sie bereits von Angreifern entdeckt und ausgenutzt wurden. (vgl. N-Day)
ZIT
Zentralstelle zur Bekämpfung der Internetkriminalität: Seit Juli 2019 hat die Zentralstelle ihren Sitz in Frankfurt am Main. Sie besteht derzeit aus einem Leitenden Oberstaatsanwalt als Leiter, einer Oberstaatsanwältin und einem Oberstaatsanwalt sowie 14 Staatsanwältinnen und Staatsanwälten. (bka.de)